This application provides a method and device for detecting HTTP FLOOD attacks based on user behavior. In this method, the detection device obtains the source and destination feature information contained in the HTTP message by parsing the HTTP message, and generates a list of feature information. According to the list of feature information, the abnormal behavior score of the host accessing the target website is counted; if the abnormal behavior score of the host is calculated. If the frequency of HTTP messages sent by the host in a fixed period of time is greater than the second threshold, it is determined that the host will issue HTTP FLOOD attacks to the server of the target website if the frequency of HTTP messages sent by the host in a fixed period of time is greater than the second threshold. This application judges whether the host sends HTTP FLOOD attack by abnormal host behavior and frequency statistics. When the second threshold setting is relatively small, it can not only avoid the situation that the normal host in the existing technology is mistaken for HTTP FLOOD attack, but also detect DDoS and improve the accuracy of HTTP FLOOD attack detection.
【技术实现步骤摘要】
一种基于用户行为检测HTTPFLOOD攻击的方法和装置
本申请涉及HTTPFLOOD攻击检测
,具体涉及一种基于用户行为检测HTTPFLOOD攻击的方法和装置。
技术介绍
HTTP泛洪攻击,即HTTPFLOOD攻击,是以消耗目标服务器系统资源为目的,使目标服务器停止提供正常服务的攻击方法。在HTTPFLOOD攻击中,攻击者通过代理或僵尸主机向目标服务器发起大量的HTTP报文,该HTTP报文包含用于消耗数据库资源的URI(UniversalResourceIdentifier,统一资源标识符)或消耗其它系统资源的URI,造成目标服务器的系统资源耗尽,无法响应正常主机的请求。例如,门户网站的服务器经常受到HTTPFLOOD攻击,代理或僵尸主机通过HTTPFLOOD攻击消耗门户网站的服务器系统资源,造成门户网站的服务器系统资源耗尽,无法提供正常的服务。为实现对HTTPFLOOD攻击的破解或者防御,需要检测HTTPFLOOD攻击。现有检测HTTPFLOOD攻击的技术主要有两种方案,一种方案是统计每个主机在固定时间段(如5S)内发送用于请求访问门户网站的HTTP报文的...
【技术保护点】
1.一种基于用户行为检测HTTP FLOOD攻击的方法,其特征在于,包括:检测装置获取主机发送的用于请求访问目标网站的HTTP报文;所述检测装置通过解析所述HTTP报文,获取所述HTTP报文中包含的来源特征信息以及目的特征信息,并生成特征信息列表,在所述特征信息列表中,按照接收所述HTTP报文的时间先后顺序依次排列所述HTTP报文;所述检测装置根据所述特征信息列表,统计所述主机访问目标网站的异常行为分数;若所述主机的异常行为分数大于第一阈值,所述检测装置比较所述主机在固定时间段内发送所述HTTP报文的频率与第二阈值;若所述主机在固定时间段内发送所述HTTP报文的频率大于第二...
【技术特征摘要】
1.一种基于用户行为检测HTTPFLOOD攻击的方法,其特征在于,包括:检测装置获取主机发送的用于请求访问目标网站的HTTP报文;所述检测装置通过解析所述HTTP报文,获取所述HTTP报文中包含的来源特征信息以及目的特征信息,并生成特征信息列表,在所述特征信息列表中,按照接收所述HTTP报文的时间先后顺序依次排列所述HTTP报文;所述检测装置根据所述特征信息列表,统计所述主机访问目标网站的异常行为分数;若所述主机的异常行为分数大于第一阈值,所述检测装置比较所述主机在固定时间段内发送所述HTTP报文的频率与第二阈值;若所述主机在固定时间段内发送所述HTTP报文的频率大于第二阈值,所述检测装置确定所述主机向所述目标网站的服务器发出HTTPFLOOD攻击。2.根据权利要求1所述的方法,其特征在于,所述检测装置根据所述特征信息列表,统计所述主机访问目标网站的异常行为分数,包括:所述检测装置根据所述特征信息列表,确定所述主机发送的HTTP报文对应的各个类型的异常行为,并且确定各个类型的异常行为对应的异常分数;所述检测装置计算所述各个类型的异常行为对应的异常分数的和,将所述各个类型的异常行为对应的异常分数的和作为所述主机的异常行为分数。3.根据权利要求2所述的方法,其特征在于,所述检测装置根据所述特征信息列表,确定所述主机发送的HTTP报文对应的各个类型的异常行为,并且确定各个类型的异常行为对应的异常分数,包括:所述检测装置选择所述特征信息列表中的任意一个HTTP报文作为第一目标HTTP报文,判断所述第一目标HTTP报文是否为所述特征信息列表中的第一个HTTP报文;若所述第一目标HTTP报文为所述特征信息列表中的第一个HTTP报文,所述检测装置判断所述第一目标HTTP报文包含的目标特征信息是否与所述目标网站的首页相匹配;若所述第一目标HTTP报文包含的目标特征信息与所述目标网站的首页不匹配,所述检测装置确定所述第一目标HTTP报文对应的异常行为是第一异常行为,并且确定所述第一异常行为对应的异常分数为第一预设分数。4.根据权利要求2所述的方法,其特征在于,所述检测装置根据所述特征信息列表,确定所述主机发送的HTTP报文对应的各个类型的异常行为,并且确定各个类型的异常行为对应的异常分数,包括:所述检测装置确定所述HTTP报文中的第二目标HTTP报文,并将在所述特征信息列表上紧邻的所述第二目标HTTP报文划分为一个分组,其中,所述目的特征信息相同,并且来源特征信息不是目标网站的HTTP报文为所述第二目标HTTP报文;若分组中所述第二目标HTTP报文的数量大于第一预设数值,所述检测装置确定所述分组中第二目标HTTP报文对应的异常行为是第二异常行为;所述检测装置根据所述分组中第二目标HTTP报文的数量确定所述第二异常行为的异常系数,将所述第二异常行为的异常系数与第二预设分数的乘积作为所述第二异常行为对应的异常分数。5.根据权利要求2所述的方法,其特征在于,所述检测装置根据所述特征信息列表,确定所述主机发送的HTTP报文对应的各个类型的异常行为,并且确定各个类型的异常行为对应的异常分数,包括:所述检测装置确定所述HTTP报文中的第三目标HTTP报文,并将在所述特征信息列表上紧邻的所述第三目标HTTP报文划分为一个分组,其中,若所述HTTP报文的目的特征信息与所述特征信息列表中前一个HTTP报文的目的特征信息不同,所述HTTP报文的来源特征信息为所述目标网站中的任意一个网页,并且所述HTTP报文的来源特征信息首次出现在所述特征信息列表中,则所述HTTP报文为第三目标HTTP报文;若分组中所述第三目标HTTP报文的数量大于第二预设数值,所述检测装置确定所述分组中第三目标HTTP报文对应的异常行为是第三异常行为;所述检测装置根据所述分组中第三目标HTTP报文的数量确定所述第三异常行为的异常系数,将所述第三异常行为的异常系数与第三预设分数的乘积作为所述第三异常行为对应的异常分数。6.根据权利要求1所述的方法,其特征在于,在所述检测装置确定所述主机发出HTTPFLOOD攻击之后,还包括:所述检测装置向所述主机推送带有验证码的页面;所述检测装置比较所述主机输入的验证码与所述页面中的验证码;若所述主机输入的验证码与所述页面中的验证码相同,所述检测装置将特征信息列表清空,并且将所述主机的异常行为分数重置为零;若所述主机输入的验证码与所述页面中的验证码不同,且累计不同次数超...
【专利技术属性】
技术研发人员:曾祥禄,
申请(专利权)人:武汉思普崚技术有限公司,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。